ผู้บริหาร Signal เตือนว่า Agentic AI ไม่เสถียร ไม่น่าเชื่อถือ และมีความเสี่ยงด้านการสอดส่องสูง

 (coywolf.com)
2 คะแนน โดย GN⁺ 2026-01-15 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Agentic AI ที่ถูกรวมเข้ากับระบบปฏิบัติการในระดับลึก ถูกชี้ว่าเป็นความเสี่ยงหลัก เพราะอาจบันทึกกิจกรรมดิจิทัลทั้งหมดของบุคคลและเปิดช่องให้มัลแวร์เข้าถึงได้
  • Meredith Whittaker และ Udbhav Tiwari แห่ง Signal ระบุในงาน Chaos Communication Congress ครั้งที่ 39 ว่า AI ลักษณะนี้ เปราะบางทั้งด้านความปลอดภัย ความน่าเชื่อถือ และการสอดส่อง
  • ฟีเจอร์ Recall ของ Microsoft จะจับภาพหน้าจอของผู้ใช้เป็นระยะและจัดเก็บเป็นฐานข้อมูล ซึ่งข้อมูลเหล่านี้ อาจเปิดช่องให้มัลแวร์หรือการโจมตีแบบ prompt injection เข้าถึงได้
  • Whittaker ยกตัวเลขให้เห็นว่า AI agent เป็น ระบบเชิงความน่าจะเป็น และยิ่งมีหลายขั้นตอน ความแม่นยำก็ยิ่งลดลงอย่างรวดเร็ว ทำให้ ความน่าเชื่อถือในการทำงานซับซ้อนต่ำ
  • ทั้งสองเรียกร้องให้ หยุดการปล่อยใช้งานอย่างไร้การควบคุม ตั้งค่า opt-out เป็นค่าเริ่มต้น และเพิ่มความโปร่งใส พร้อมเตือนว่าหากไม่ทำเช่นนั้น อุตสาหกรรม AI ทั้งหมดอาจเผชิญวิกฤตจากการสูญเสียความเชื่อมั่นของผู้บริโภค

ความเสี่ยงด้านความปลอดภัยและการสอดส่องของ Agentic AI

  • เมื่อ Agentic AI ถูกรวมเข้าในระดับระบบปฏิบัติการ ชีวิตดิจิทัลทั้งหมดของบุคคลอาจถูกเก็บไว้ในฐานข้อมูล ทำให้ มีโอกาสที่มัลแวร์จะเข้าถึงได้สูงขึ้น
    • ฐานข้อมูลลักษณะนี้อาจรวมทุกอย่างตั้งแต่พฤติกรรมของผู้ใช้ ข้อความ เวลาใช้งานแอป ไปจนถึงกิจกรรมที่กำลังโฟกัส
    • ในบางกรณีอาจถูกเปิดใช้งานอัตโนมัติโดยไม่ได้รับความยินยอม จึงมีความกังวลเรื่อง การละเมิดความเป็นส่วนตัว อย่างมาก
  • ผู้บริหาร Signal ชี้ว่าโครงสร้างลักษณะนี้ก่อให้เกิดทั้ง ความไม่มั่นคงด้านความปลอดภัยและความเสี่ยงจากการสอดส่อง พร้อมกัน

กรณีของ Microsoft Recall

  • Microsoft กำลังนำ Agentic AI เข้ามาใน Windows 11 ผ่าน ฟีเจอร์ Recall
    • Recall จะจับภาพหน้าจอทุก ๆ ไม่กี่วินาที จากนั้นทำ OCR และวิเคราะห์เชิงความหมายเพื่อสะสมกิจกรรมทั้งหมดของผู้ใช้ไว้ในฐานข้อมูล
    • ข้อมูลที่เก็บรวมถึงไทม์ไลน์พฤติกรรม ข้อความต้นฉบับ เวลาโฟกัสตามแอป และการจัดหมวดหมู่ตามหัวข้อ
  • Tiwari ชี้ว่าแนวทางนี้ ไม่สามารถป้องกันการโจมตีด้วยมัลแวร์และการโจมตีแบบซ่อน prompt injection ได้
    • ช่องโหว่เหล่านี้สามารถใช้ ข้ามการเข้ารหัสแบบต้นทางถึงปลายทาง (E2EE) ได้
    • แม้ Signal จะเพิ่มฟีเจอร์บล็อกการบันทึกหน้าจอในแอปของตนเอง แต่ก็ ประเมินว่านี่ไม่ใช่วิธีแก้ปัญหาที่ต้นเหตุ

ปัญหาความน่าเชื่อถือของ Agentic AI

  • Whittaker อธิบายว่า Agentic AI เป็น ระบบเชิงความน่าจะเป็น ที่ยิ่งมีหลายขั้นตอน ความแม่นยำก็ยิ่งลดลงอย่างรวดเร็ว
    • หากแต่ละขั้นมีความแม่นยำ 95% งานที่มี 10 ขั้นจะมีโอกาสสำเร็จประมาณ 59.9% และงาน 30 ขั้นจะเหลือประมาณ 21.4%
    • หากใช้เกณฑ์ที่สมจริงกว่าคือความแม่นยำ 90% งาน 30 ขั้นจะมีโอกาสสำเร็จ ลดฮวบเหลือ 4.2%
  • มีการระบุว่าแม้แต่โมเดล agent ระดับแนวหน้าปัจจุบันก็ยังมี อัตราความล้มเหลว 70%
  • จึงเน้นว่าเทคโนโลยีนี้ยังมี ความน่าเชื่อถือต่ำมาก สำหรับการมอบหมายงานอัตโนมัติที่ซับซ้อน

แนวทางปรับปรุงเพื่อความเป็นส่วนตัวและความปลอดภัย

  • Whittaker ระบุว่า ณ ตอนนี้ ยังไม่มีวิธีที่รับประกันความเป็นส่วนตัว ความปลอดภัย และสิทธิในการควบคุมได้อย่างสมบูรณ์ และทำได้เพียงการรับมือเฉพาะหน้า (triage) เท่านั้น
  • อย่างไรก็ตาม เธอเสนอว่าความเสี่ยงสามารถบรรเทาได้ด้วยมาตรการต่อไปนี้
    • หยุดการปล่อยใช้ Agentic AI อย่างไร้การควบคุม และจำกัดไม่ให้มัลแวร์เข้าถึงฐานข้อมูลข้อความล้วนได้
    • ตั้งค่า opt-out เป็นค่าเริ่มต้น และเปลี่ยนให้เฉพาะนักพัฒนาที่แสดงเจตนาชัดเจนเท่านั้นจึงจะ opt-in ได้
    • ทำให้การทำงานของระบบ AI และกระบวนการจัดการข้อมูลมีความโปร่งใส พร้อมออกแบบให้สามารถตรวจสอบได้ในระดับรายละเอียด
  • หากไม่มีมาตรการเหล่านี้ ยุคของ Agentic AI เองก็อาจตกอยู่ในความเสี่ยงจากการสูญเสียความเชื่อมั่นของผู้บริโภค

คำเตือนต่ออุตสาหกรรมโดยรวม

  • ผู้บริหาร Signal เตือนว่าแม้ Agentic AI จะเติบโตท่ามกลาง การลงทุนเกินตัวและการประเมินมูลค่าสูงเกินจริง แต่หากไม่แก้ปัญหาเรื่อง ความปลอดภัย ความน่าเชื่อถือ และการสอดส่อง อุตสาหกรรมทั้งหมดอาจเผชิญวิกฤต
  • พวกเขาเน้นว่าบริษัทต่าง ๆ ควรให้ความสำคัญกับ การคุ้มครองผู้ใช้และความโปร่งใส มากกว่านวัตกรรมทางเทคนิค

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-15
ความคิดเห็นจาก Hacker News

  • นี่ ไม่ใช่ปัญหา AI แต่เป็นปัญหาของระบบปฏิบัติการ
    AI ไม่น่าเชื่อถือกว่าซอฟต์แวร์ที่มนุษย์เขียนและตรวจทานอย่างมาก จึงกำลังเปิดเผยข้อบกพร่องของระบบเดิม
    ทั้ง UNIX และ Microsoft ต่างก็ไม่สามารถทำ process isolation ได้ดีพอ และต่อให้โมเดลความปลอดภัยจะออกแบบมาดี ก็ไม่ได้ช่วยให้ขายคอมพิวเตอร์หรือ OS ได้ดีขึ้น
    มีตัวอย่างที่ดีอย่าง Plan 9, SEL4, Fuschia, Helios แต่ปัญหาคือ ผู้มีอำนาจตัดสินใจขาดวิสัยทัศน์
    การไม่เข้าใจ sandboxing และโมเดลความปลอดภัยสมัยใหม่ควรถูกมองว่าเป็นเรื่องน่าอาย

    • ต่อให้โมเดลความปลอดภัยจะออกแบบมาดี จากมุมผู้ใช้ก็มักจะ ใช้งานไม่สะดวก เกินไป
      เวลานำซอฟต์แวร์ไปลงในสภาพแวดล้อมที่ปลอดภัยสูง โดยพื้นฐานแล้วอาจสื่อสารอะไรไม่ได้เลย และระบบไฟล์ก็เป็นแบบ immutable จนรันไม่ได้ด้วยซ้ำ
      ถ้ารวมเรื่องใบรับรอง TLS หรือการตั้งค่า CA เข้าไปด้วย การดีพลอยจะกลายเป็นฝันร้าย
    • ท้ายที่สุด AI ก็คือความพยายามจะมาแทนที่ “การใช้คอมพิวเตอร์” ดังนั้นนี่จึงเป็น ปัญหาที่เส้นแบ่งระหว่าง OS กับ AI เริ่มเลือนราง
      หากจะทำฟีเจอร์อย่าง Recall ให้ปลอดภัย จำเป็นต้องมีการควบคุมสิทธิ์อย่างละเอียด แต่ในความเป็นจริงมันก็น่าจะน่ารำคาญคล้าย UAC
      การทำให้ AI ทำงานเหมือนผู้ช่วยส่วนตัว แต่ยังคงปลอดภัยและเชื่อถือได้ เป็นโจทย์ที่ยากมาก
    • โมเดลความปลอดภัยของ OS แบบเดิมไม่ได้ถูกออกแบบโดยคำนึงถึงสภาพแวดล้อมเครือข่าย
      ส่วนใหญ่ถูกออกแบบมาก่อนยุคอินเทอร์เน็ต ดังนั้นการสร้างใหม่ทั้งหมดตอนนี้จึงแทบเป็นไปไม่ได้เพราะ ปัญหาเรื่องความเข้ากันได้และต้นทุน
      คอนเทนเนอร์หรือ VM สุดท้ายก็เป็นเพียง วิธีแก้แบบแปะทับชั่วคราว บนระบบเดิม
    • ปัญหาคล้ายกันเกิดขึ้นในทุกสภาพแวดล้อมที่รวม LLM เข้าไป ดังนั้น ตัว AI เองก็ต้องรับผิดชอบด้วย
      ไม่ว่าจะใส่ในเบราว์เซอร์ อีเมลไคลเอนต์ หรือโปรแกรมประมวลผลคำ ก็ล้วนแสดงพฤติกรรมที่คาดเดาไม่ได้
      สุดท้ายแล้วปัญหาพื้นฐานคือ “การตัดสินใจรวม LLM ที่ทำให้ปลอดภัยไม่ได้เข้าไป”
    • ถ้า AI จะมีประโยชน์ มันก็จำเป็นต้องมี สิทธิ์เข้าถึงที่เชื่อถือได้
      การแยกแบบสมบูรณ์มีต้นทุนสูงเกินไปทั้งด้านทรัพยากรและความซับซ้อน และนี่ก็เป็นเหตุผลที่ระบบอย่าง Qubes ไม่แพร่หลาย
      โดยพื้นฐานแล้วต้องออกแบบอินเทอร์เฟซใหม่ที่มีพื้นผิวการโจมตีต่ำ แต่การทำแบบนั้นคือการเปลี่ยนทั้ง ecosystem

  • เป็นเรื่องถูกต้องแล้วที่ Signal ให้ความสำคัญสูงสุดกับ ความปลอดภัยและความเป็นส่วนตัว
    ในทางกลับกัน IT ขององค์กรมีหน้าที่จัดการความเสี่ยง
    บทบาททั้งสองต่างกันโดยสิ้นเชิง และมาตรฐานความปลอดภัยแบบเข้มสุดของ Signal ก็เหมาะกับภารกิจของพวกเขา

    • เป็นมุมมองที่น่าสนใจ แต่ดูเหมือนจะประเมิน ความเสี่ยงจริง ของการที่ผู้ใช้ในองค์กรรันเอเจนต์บนเดสก์ท็อปต่ำเกินไป
      เลยสงสัยว่าหากผู้ดูแล IT ต้องควบคุมความเสี่ยงขององค์กร แนวทางไหนจะฉลาดที่สุด

  • จำได้ว่าเคยเห็นโครงการที่ดูเหมือนจะเป็นต้นแบบของ Recall ที่ Microsoft Research ราวปี 2009
    ชื่อว่า PersonalVibe และมีโครงสร้างที่บันทึกพฤติกรรมผู้ใช้ไว้ในฐานข้อมูลแบบ local โดยไม่ส่งออกภายนอก
    ลิงก์โครงการ

  • ในสภาพแวดล้อมองค์กร แรงดึงดูดของ ‘Agentic AI’ มีสูงมาก แต่ ความคาดเดาได้ เป็นคุณค่าที่สำคัญกว่า
    ถ้ามันทำงานถูกต้องแค่ 90% และอีก 10% ที่เหลือทำให้ข้อมูลรั่วหรือเกิด hallucination แบบนั้นมันไม่ใช่เอเจนต์ แต่เป็น ความเสี่ยง
    ตอนนี้ยังเป็นช่วงที่ human-in-the-loop จำเป็นอย่างยิ่ง

    • น้ำหนักของ ความรับผิดชอบ ต่างกันตามว่าความเสี่ยงอยู่ภายในหรือภายนอก
      องค์กรจัดการความเสี่ยงภายใน แต่โยนความเสี่ยงภายนอกไปไว้ในเงื่อนไขการใช้งานหรือ EULA
      คนส่วนใหญ่กดคลิกโดยคิดว่า “เชื่อผู้ขาย” หรือ “บริษัทคงกันไว้ให้แล้ว”
      ผู้บริหารมักถูกล่อลวงให้ผลักความเสี่ยงของ AI ออกไปในอนาคตเพื่อแลกกับผลงานระยะสั้น
    • ฉันไม่ได้ต้องการเอเจนต์ แต่ต้องการ principal

  • ฟีเจอร์แบบ Recall เป็น แนวคิดที่เหลือเชื่อมาก
    ทั้ง Anthropic และ ChatGPT ก็กำลังพยายามดูดข้อมูลการทำงานทั้งหมดของผู้ใช้เข้าไปในโมเดล
    สิ่งที่จำเป็นตอนนี้คือ ความเป็นส่วนตัวที่ตรวจสอบได้ในขั้น inference
    ถ้าข้อมูลของฉันจะถูกส่งออกไป มันต้องได้รับการปกป้องในแบบที่ตรวจสอบได้เท่านั้น

    • AI คือ ความเสี่ยงด้านความเป็นส่วนตัวของข้อมูลที่ใหญ่ที่สุด ในบรรดาเทคโนโลยีทั้งหมดที่เคยถูกสร้างมา
      ผู้คนกำลังส่งมอบข้อมูลทั้งหมดให้บริษัทที่ตัวเองไม่รู้จัก
    • ไอเดียของ Recall เองมีประโยชน์ แต่ ไม่สามารถไว้ใจ Microsoft ได้
      ถ้ามันทำงานเฉพาะตอนที่ต้องการ และอยู่ในรูป แอปพกพา ที่ไม่ถูกรวมเข้ากับ OS ก็น่าจะโอเค
      มันอาจมีประโยชน์สำหรับเก็บบันทึกขั้นตอนการทำงานระหว่างการแก้ปัญหา
    • หากข้อมูลจะเป็นส่วนตัวอย่างแท้จริง ก็ต้อง ประมวลผลทุกอย่างบนเครื่อง local
      สภาพแวดล้อมที่ไม่ออกสู่เครือข่ายภายนอกคือคำตอบเดียว
    • Apple กำลังจ่าย หลายพันล้านดอลลาร์ เพื่อรวม Gemini3 เข้ามา
      คนทั่วไปคงยากจะคาดหวังความเป็นส่วนตัวระดับเดียวกันได้ด้วยเงินไม่กี่ร้อยดอลลาร์
    • ในสหรัฐฯ เองก็ยังไม่ชัดว่าใครต้องรับผิดชอบเรื่องนี้
      บริษัท AI ทำ การเก็บข้อมูลที่เกือบผิดกฎหมาย มาหลายปีแล้ว และรัฐบาลก็ไม่สนใจ

  • ความก้าวหน้าทางเทคโนโลยีให้ความรู้สึกเหมือน ‘การแข่งขันสู่ก้นเหว’
    งานวิจัยด้านความปลอดภัยตลอด 30 ปีเหมือนสูญเปล่า
    เมื่อ AI browser เข้ามาจัดการคุกกี้และโทเคนยืนยันตัวตน พื้นผิวการโจมตีก็ขยายแบบไร้ขีดจำกัด

  • แนวคิดที่ว่า “ให้สิทธิ์เข้าถึงทั้งหมดกับระบบที่เราไม่รู้ด้วยซ้ำว่ามันทำงานอย่างไร” คือ ความบ้าคลั่ง
    AI ควรเสนอการกระทำได้ แต่ การตัดสินใจต้องถูกดำเนินการหลังผู้ใช้ยืนยันเสมอ
    ตัวอย่างเช่น ถ้ามันตรวจพบคำขอยกเลิกการสมัคร ก็ควรถามว่า “AI ตีความแบบนี้ ถูกต้องไหม?”
    อย่างไรก็ตาม มนุษย์มี ปัญหาทางจิตวิทยา ที่มักเข้าใจผิดว่าระบบที่แม่นยำ 90% คือ 100%

    • ปฏิสัมพันธ์แบบ ‘translation-style’ ที่อิงการยืนยันจากผู้ใช้ เป็นแนวทางที่มีความรับผิดชอบ
      เช่น แปลงคำขอภาษาธรรมชาติอย่าง “บทความเกี่ยวกับ Foo แต่ไม่เอา Bar” ให้เป็น structured search query แล้วเสนอให้ผู้ใช้ตรวจสอบ
      แน่นอนว่าถ้ามีชุดข้อมูลที่เป็นอันตรายก็ยังมีความเสี่ยง แต่ก็ยังดีกว่าการฝัง LLM แบบสะเปะสะปะมาก

  • อยากรู้ว่าถ้ารัน AI ใน บัญชีผู้ใช้ที่แยกออกมา และใช้
    ไฟร์วอลล์แบบ whitelist กับ overlay file system
    จะสามารถป้องกันพฤติกรรมที่ไม่ต้องการได้หรือไม่

  • สิ่งที่จำเป็นคือ โมเดล zero trust ระดับปฏิสัมพันธ์
    ต้องทำให้ AI ทำงานได้โดยไม่ต้องเห็นข้อมูลอ่อนไหวโดยตรง
    ถ้าผสานกับ secure enclave ระดับฮาร์ดแวร์ ก็อาจแก้ปัญหาความเป็นส่วนตัวได้ถึงราก

  • นี่คือบทความที่ตรงกับสิ่งที่ฉันขอไปเมื่อวานแบบพอดีเป๊ะ
    ลิงก์ที่เกี่ยวข้อง